Blisko 3 miliardy wykradzionych kombinacji login-hasło znalazło się w najnowszej bazie krążącej po sieci. Jak się bronić przed włamywaczami w czasach, gdy nasze hasło może wypłynąć w każdej chwili? O tym 70 odcinek Świata w trzy minuty mniej naukowy, bardziej techniczny.
Kilkanaście miesięcy temu w sieci pojawiła się „ważąca” 40 gigabajtów baza danych zawierająca adresy email i przypisane do nich hasła. Prawdziwe. Teraz usłyszeliśmy, że na jednym z serwerów znaleziono bazę zawierającą ponad 80 gigabajtów danych logowania związanych z 773 milionami adresów email. Baza została dość szybko usunięta, ale jej kopie powoli zaczynają pojawiać się w różnych miejscach. Co gorsza, istnieje podejrzenie, że to tylko 1/10 pełnej bazy, którą też ktoś może mieć.
Skąd te dane? To zbiory haseł wykradzionych w ostatnich latach z setek serwisów internetowych – od małych forów dyskusyjnych, na firmach typu Adobe kończąc. Wystarczy, że włamywacz udostępni wykradzioną bazę publicznie, a ktoś ją dołączy do swojej kolekcji, którą kiedyś ktoś inny wrzuci do internetu. Albo ktoś kupuje kradzione dane logowania na czarnym rynku, a następnie przypadkiem lub celowo udostępnia w sieci cały swój zasób danych. Collection #1, bo taką nazwę nosi ostatni wyciek, zawiera dane zebrane z ponad 2000 serwisów internetowych. Hasła oczywiście pierwotnie były szyfrowane, kłopot polega na tym, że przy dzisiejszych mocach obliczeniowych ich odszyfrowanie nie zajęło dużo czasu.
Jak sprawdzić, czy nasze hasło tam się znalazło? Sposoby są dwa – można odszukać bazę i samodzielnie sprawdzić, albo skorzystać z jednego z zaufanych serwisów internetowych. Najpopularniejszy jest prowadzony przez Troya Hunta – odnośnik znajdziesz na stronie trzyminuty.com. Troy od lat zbiera informacje o wyciekach haseł i wrzuca je do bazy danych, w której można sprawdzić swój adres email. W osobnej bazie Troy trzyma hasła, które pojawiły się w wyciekach – więc jeśli masz unikalne hasło ORAZ wierzysz Troyowi, to możesz je tam wpisać i sprawdzić, czy ujrzało już światło dzienne. Ale jeśli naprawdę dbasz o bezpieczeństwo, po prostu zmieniaj hasła, a nie wpisuj je do nawet najpopularniejszych serwisów.
I teraz najważniejsze – jak się bronić? Wszyscy wiemy, że nie wolno zapisywać haseł na klawiaturze czy monitorze. Ale co nam to daje, jeśli hasło jest wykradane nie z naszego komputera, lecz z dalekiego serwera?
Żeby utrudnić życie włamywaczom, warto przestrzegać kilku podstawowych zasad. Po pierwsze, do każdego serwisu internetowego musimy mieć inne hasło. Wtedy nawet, gdy hasło do naszego konta w serwisie randkowym zostanie upublicznione, nie będzie się go dało wykorzystać w celu wykradzenia naszej poczty czy zalogowania do serwisu aukcyjnego.
Po drugie – tam, gdzie tylko to możliwe, włącz weryfikację dwuetapową. To funkcja, którą oferuje coraz więcej serwisów, a która ratuje nas nawet w sytuacji kradzieży hasła. Ktoś, kto będzie miał nasz login i hasło, a nie będzie miał w ręku naszego telefonu, nie będzie się w stanie zalogować. Magia, prawda?
Po trzecie – coraz więcej serwisów umożliwia korzystanie ze sprzętowych kluczy kryptograficznych przy logowaniu. Te klucze stają się coraz tańsze, więc rośnie ich popularność. Zalogowanie się przy pomocy takiego klucza polega na podaniu loginu, hasła i włożeniu do portu USB (lub przyłożeniu do telefonu) urządzenia wielkości małego pendrive.
Po czwarte – korzystajmy z menadżerów haseł. Jeśli będziesz próbować mieć osobne hasła do każdego serwisu, szybko zaczniesz się w tym gubić i wrócisz do korzystania z jednego hasła. Zainstaluj odpowiednie oprogramowanie (lub skorzystaj z menadżera oferowanego przez popularne przeglądarki internetowe) i nie będziesz musieć pamiętać, jakiego hasła gdzie używasz. Za to warto wtedy pilnować komputera lub używać osobnego hasła do zaszyfrowania tegoż menadżera haseł – bo wszystkie twoje dane logowania będą w jednym pliku, który ktoś może chcieć ukraść.
Więcej informacji:
- Have I Been Pwned? – serwis Troya Hunta
- KeePassXC – wykorzystywany przeze mnie menadżer haseł
- klucze kryptograficzne Yubico
- klucz kryptograficzny Google Titan
- Rębacze.pl – prowadzony przeze mnie serwis o cyberbezpieczeństwie
- 48. odcinek podkastu Cyber, cyber…, w którym nie dotarli mi goście, więc przez pół godziny opowiadam o bezpieczeństwie haseł
